杂谈
如果你莫名其妙的收到了别人的支付宝1分钱转账,代表着很有可能你的手机号已经泄露了。
不转账可以查部分名
在你打开转账的界面的时候就可以看到对方姓名中的1位,比方说我们可以看到X
沐寒(*X)转账可以查全名
在支付宝里转账,使用银行卡支付的,我们可以在银行卡的账单中看到收款人的姓名全名,这里为了隐私我们打了码
社工案例讲解
案例分析
最近正好在学做溯源取证,我这里就简单讲一下,具体过程很复杂(包括通过威胁情报的IP反查域名、在域名里找到黑客ID、然后再通过搜索引擎语法找到这个ID下相关的社交平台,最终通过小号关注的人找到了他的大号)
这时我们通过简单社工库查到了他的手机号,然后在支付宝里点击转账,输入他的手机号,然后这里可以看到真实姓名其中的一个字驰
因此我们知道他现在叫宗驰
然后,你可以看到他的邮箱是hzc*开头的,我们可以猜测一下,h开头的能有啥姓呢,我就随口说了俩:黄宗驰、黑宗驰
输入,然后点击验证了一下
居然验证成功了,那这下应该就是实锤了
很多人运气没有我这么好,不过也可以给大家出一点思路,我们可以通过职场的社交平台(我这里用的是领英)去找点一些资料
社交平台
招聘平台的话目前就领英可以通过名称搜索到,其他的像BOSS直聘、猎聘、前程无忧这些都无法通过姓名搜索(即便是招聘方也无法通过姓名搜索)
领英
不登陆领英平台查人的方法
微博
注意我们的目标人物发出去的图片,如果是有微博水印的,可以通过微博右下角的水印名称搜索到这个人
网易云音乐
通过用户ID在网易云进行搜索,搜索方式
找到这个用户,看下他关注的人,如果有唯一关注的,那么很有可能这个关注的人就是他的大号,同时部分账户还可以看到地理位置、年龄、最近听的音乐等信息,这些也可以作为我们在社工时候的参考
如何防止个人信息泄露
设置搜索不可见
- QQ、微信在隐私中可以设置手机号搜索不可见
- 支付宝在隐私中可以设置姓名不展示
这里给大家提一嘴,部分人支付宝设置的好友显示姓名全称,如果被加了好友,很有可能直接姓名就完全暴露出来了,因此需要对隐私进行合理设置
结语
社工其实还是蛮有意思的,需要对信息进行整合,最后形成一个完整的用户画像(包括但不限于用户名、年龄、兴趣爱好、职业、所在单位、姓名、身份证、住址等信息)
2022年2月8日 17:15
请登录后查看评论内容